Emlog: emUnZip()におけるパス・トラバーサル脆弱性により、任意のファイル書き込みが可能となり、RCEにつながる

この脆弱性は、認証されたEmlog CMSの管理者が、ZIPファイル形式で悪意のあるファイルをアップロードすることで、サーバー上の任意の場所にファイルを書き込めることを意味します。攻撃者は、PHPウェブシェルなどの悪意のあるファイルをアップロードし、サーバーへのリモートコード実行（RCE）を達成できます。これにより、機密情報の窃取、データの改ざん、システムの完全な制御など、深刻な被害が発生する可能性があります。この脆弱性は、ZIPファイルのファイル名に../のようなパス・トラバーサルシーケンスが含まれている場合に発生します。Emlog CMSの管理者が悪意のあるプラグインやテンプレートをアップロードする際に、この脆弱性が悪用される可能性があります。

Emlog CMS installations, particularly those running versions 1.0.0 through 2.6.2, are at risk. Shared hosting environments that utilize Emlog CMS are especially vulnerable, as they often have limited control over server configurations and security settings. Administrators who have not implemented robust file upload validation or access controls are also at increased risk.

• linux / server:

find /var/www/emlog -type f -name '*.php' -exec grep -i 'emUnZip\(' {} + | journalctl -f

• generic web:

curl -I http://your-emlog-site.com/wp-admin/admin-ajax.php?action=upload_plugin&file=../../../../../../etc/passwd | grep 'Content-Type:'

• php:

Get-ChildItem -Path "C:\xampp\htdocs\emlog\include\lib" -Recurse -Filter "common.php"

1. 2026-04-03Disclosure

   disclosure

2. 2026-04-03Patch

   patch

1. 予約済み2026-03-30
2. 公開日2026-04-03
3. 更新日2026-04-06
4. EPSS 更新日2026-04-11

Emlog CMSのバージョンを2.6.3以降にアップデートすることが最も効果的な対策です。アップデートが困難な場合は、ZIPファイルのアップロード機能を一時的に無効にするか、アップロードされるZIPファイルの内容を厳密に検証するカスタムのセキュリティチェックを実装することを検討してください。また、ウェブアプリケーションファイアウォール（WAF）を使用して、パス・トラバーサル攻撃を検出し、ブロックすることも有効です。ファイルアップロード処理において、ファイル名に含まれる../のようなパス・トラバーサルシーケンスを厳密に検証するルールをWAFに設定してください。アップデート後、Emlog CMSのバージョンが2.6.3以降であることを確認し、セキュリティログを監視して不正なファイルアクセスがないか確認してください。